龙空技术网

终于,继浏览器主页被篡改后,我的QQ空间差点沦陷

360安全卫士 121

前言:

此刻看官们对“qq空间怎么做主页”大致比较看重,大家都想要剖析一些“qq空间怎么做主页”的相关内容。那么小编在网上收集了一些对于“qq空间怎么做主页””的相关知识,希望各位老铁们能喜欢,各位老铁们一起来学习一下吧!

一:木马概述

360安全中心近期接到用户反馈,在使用下载安装某个软件后,浏览器主页被强行篡改,无法修改成用户想要的主页,在提取相关文件后,我们发现这是CEIDPageLock一个新变种,我们将其命名为CEIDPageLock2,该木马不仅篡改用户主页,还恶意盗用用户QQ Key空间转发各种推广信息,据初步统计目前至少有上万用户中毒。

二:木马分析

木马来源于到带数字签名的某款软件

MD5:71da18a5cd8e594eacd90654a5e0c6b3

文件信息

下载器创建广告木马MD5:

6fddc26c19b5b300a7d5903caecc1894

该木马是易语言编写,并加入了易语言自带的花指令混淆,木马受云端控制,入侵用户机器后调用QQ说说接口发送广告。

木马启动访问 网页统计木马启动数量:

然后访问 获取标记

如果返回error,则下载三个木马执行:

MD5: B583C6D1E133410938CFC185BAEA7945

木马简要行为:

通过傀儡进程方式,将木马写入CMD.exe进程,获取本地QQ信息,并从获取木马推广QQ进行添加,转载添加的木马QQ空间广告信息进行转发推广。

MD5: 86F9D8B955EC9B9A58ABF22AAE3D6E52

木马简要行为:

通过傀儡进程方式,将木马写入iexpress.exe进程,释放C:\Windows\temp\kcbhgyd.sys并加载驱动,进行主页修改。

该驱动文件就是我们之前分析的CEIDPageLock

篡改浏览器列表:

篡改用户主页为:

篡改用户主页为:

文件无法下载,但同目录下有一个ppt2.jpg文件,怀疑作者可能不想进行推广将其改名,我们依然看下ppt2.jpg行为。

MD5: DCFA785905CDAA6DCD668C998C08BEBF

木马简要行为:

木马直接通过 下载安装推广一款"小牛截图"的流氓软件。

访问 获取用户IP,并获取用户MAC地址,为木马打点用户信息做准备

拼接获取到的用户信息,发送打点请求:

打点完成循环访问QQ开放接口来检测机器上是否启动QQ

如果有启动QQ则获取QQSkey(相当于QQ密码)并访问 获取广告代码信息:

通过获取到的QQSkey调用QQ说说接口发送上述广告内容

广告内容截图:

三:安全提醒

建议用户尽量不要下载来历不明的软件,更不要相信木马提示退出安全防护,然后发现木马提示要立即清理

此外,360安全卫士针对主页被恶意篡改已经推出了主页修复功能,能完美解决各种主页被篡改问题。

标签: #qq空间怎么做主页 #asp 获取mac地址 #qq空间怎么直接进入主页